Partilhar via


Categorias de regras de regra de assinatura IDPS do Firewall do Azure

O IDPS do Firewall do Azure apresenta mais de 50 categorias que podem ser atribuídas a assinaturas individuais. A tabela a seguir é uma lista de definições para cada categoria.

Categorias

Categoria Description
3CORESec Esta categoria é para assinaturas que são geradas automaticamente a partir das listas de bloqueio de IP da equipe 3CORESec. Essas listas de bloqueio são geradas pelo 3CORESec com base na atividade maliciosa de seus Honeypots.
ActiveX Esta categoria destina-se a assinaturas que protegem contra ataques contra controlos Microsoft ActiveX e explorações direcionadas para vulnerabilidades em controlos ActiveX.
Adware-PPI Esta categoria destina-se a assinaturas para identificar software utilizado para rastreio de anúncios ou outros tipos de atividade relacionada com spyware.
Resposta ao ataque Esta categoria destina-se a assinaturas para identificar respostas indicativas de intrusão — os exemplos incluem, entre outros, o download de ficheiros LMHost, a presença de determinados banners Web e a deteção do comando kill Metasploit Meterpreter. Essas assinaturas são projetadas para capturar os resultados de um ataque bem-sucedido. Coisas como id=root ou mensagens de erro que indicam que um compromisso pode ter acontecido.
Botcc (Bot Comando e Controle) Esta categoria é para assinaturas que são geradas automaticamente a partir de várias fontes de botnet ativa conhecida e confirmada e outros hosts de Comando e Controle (C2). Esta categoria é atualizada diariamente. A fonte de dados primária da categoria é Shadowserver.org.
Botcc Porto agrupado Esta categoria é para assinaturas como as da categoria Botcc, mas agrupadas por porta de destino. As regras agrupadas por porta podem oferecer maior fidelidade do que as regras não agrupadas por porta.
Chat Esta categoria destina-se a assinaturas que identificam o tráfego relacionado a muitos clientes de chat, como o Internet Relay Chat (IRC). O tráfego de bate-papo pode ser indicativo de uma possível atividade de check-in por agentes de ameaça.
CIArmy Esta categoria é para assinaturas que são geradas usando as regras de IP da Inteligência Coletiva para bloqueio.
Mineração de moedas Esta categoria é para assinaturas com regras que detetam malware, que faz mineração de moedas. Essas assinaturas também podem detetar algum software legítimo (embora muitas vezes indesejável) de mineração de moedas.
Comprometido Esta categoria é para assinaturas baseadas em uma lista de hosts comprometidos conhecidos. Esta lista é confirmada e atualizada diariamente. As assinaturas nesta categoria podem variar de uma a várias centenas de regras, dependendo das fontes de dados. As fontes de dados para esta categoria provêm de várias fontes de dados privadas, mas altamente fiáveis.
Eventos Atuais Esta categoria destina-se a assinaturas com regras desenvolvidas em resposta a campanhas ativas e de curta duração e itens de grande visibilidade que se espera que sejam temporários. Um exemplo são as campanhas de fraude relacionadas com catástrofes. As regras nesta categoria não se destinam a ser mantidas no conjunto de regras por muito tempo, ou que precisam ser testadas antes de serem consideradas para inclusão. Na maioria das vezes, essas serão assinaturas simples para a URL binária do Storm do dia, assinaturas para capturar CLSIDs de aplicativos vulneráveis recém-encontrados onde não temos nenhum detalhe sobre a exploração e assim por diante.
DNS (Serviço de Nomes de Domínio) Esta categoria é para assinaturas com regras para ataques e vulnerabilidades em relação ao DNS. Esta categoria também é usada para regras relacionadas ao abuso de DNS, como tunelamento.
DOS Esta categoria é para assinaturas que detetam tentativas de negação de serviço (DoS). Estas regras destinam-se a detetar a atividade de DoS de entrada e a fornecer indicações sobre a atividade de DoS de saída.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
Remover Esta categoria destina-se a assinaturas para bloquear endereços IP na lista Spamhaus DROP (Don't Route or Peer). As regras desta categoria são atualizadas diariamente.
Dshield Esta categoria é para assinaturas baseadas em atacantes identificados pela Dshield. As regras nesta categoria são atualizadas diariamente a partir da lista dos principais atacantes do DShield, que é confiável.
Explorar Esta categoria é para assinaturas que protegem contra explorações diretas não cobertas em uma categoria de serviço específica. Esta categoria é onde ataques específicos contra vulnerabilidades, como contra o Microsoft Windows, serão encontrados. Ataques com sua própria categoria, como injeção de SQL, têm sua própria categoria.
Exploit-Kit Esta categoria destina-se a assinaturas para detetar atividades relacionadas com Exploit Kits, a sua infraestrutura e entrega.
FTP Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao Protocolo de Transferência de Ficheiros (FTP). Essa categoria também inclui regras que detetam atividades de FTP não mal-intencionadas, como logins para fins de registro.
Jogos Esta categoria é para assinaturas que identificam o tráfego de jogos e ataques contra esses jogos. As regras abrangem jogos como World of Warcraft, Starcraft e outros jogos online populares. Embora os jogos e seu tráfego não sejam maliciosos, eles geralmente são indesejados e proibidos pela política em redes corporativas.
Investigação Esta categoria é para assinaturas que fornecem indicadores que, quando combinados com outras assinaturas, podem ser úteis para a caça de ameaças em um ambiente. Essas regras podem fornecer falsos positivos no tráfego legítimo e inibir o desempenho. Eles só são recomendados para uso quando se pesquisa ativamente ameaças potenciais no ambiente.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
ICMP Esta categoria destina-se a assinaturas relacionadas com ataques e vulnerabilidades sobre o Internet Control Message Protocol (ICMP).
ICMP_info Esta categoria destina-se a assinaturas relacionadas a eventos específicos do protocolo ICMP, normalmente associadas a operações normais para fins de registro.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
IMAP Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades sobre o protocolo IMAP (Internet Message Access Protocol). Essa categoria também inclui regras que detetam atividades IMAP não maliciosas para fins de registro.
Inapropriado Esta categoria destina-se a assinaturas para identificar atividades potencialmente relacionadas com sites pornográficos ou que não são apropriados para um ambiente de trabalho.

Aviso: Esta categoria pode ter um impacto significativo no desempenho e uma elevada taxa de falsos positivos.
Informações Esta categoria destina-se a assinaturas para ajudar a fornecer eventos de nível de auditoria que são úteis para correlação e identificação de atividades interessantes, que podem não ser inerentemente maliciosas, mas são frequentemente observadas em malware e outras ameaças. Por exemplo, baixar um executável sobre HTTP por endereço IP em vez de nome de domínio.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
JA3 Esta categoria é para assinaturas para impressão digital de certificados SSL maliciosos usando hashes JA3. Essas regras são baseadas em parâmetros que estão na negociação de handshake SSL por clientes e servidores. Essas regras podem ter uma alta taxa de falsos positivos, mas podem ser úteis para ambientes de caça a ameaças ou detonação de malware.
Malware Esta categoria é para assinaturas para detetar software mal-intencionado. As regras nesta categoria detetam atividades relacionadas a software mal-intencionado que é detetado na rede, incluindo malware em trânsito, malware ativo, infeções por malware, ataques de malware e atualização de malware. Esta também é uma categoria altamente importante e é altamente recomendável que você a execute.
Div Esta categoria destina-se a assinaturas não abrangidas por outras categorias.
Malware para dispositivos móveis Esta categoria é para assinaturas que indicam malware associado a sistemas operacionais móveis e tablets como Google Android, Apple iOS e outros. O malware detetado e associado a sistemas operacionais móveis geralmente será colocado nesta categoria, em vez das categorias padrão, como Malware.
NETBIOS Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao NetBIOS. Esta categoria também inclui regras que detetam atividades NetBIOS não maliciosas para fins de registro.
P2P Esta categoria é para assinaturas para a identificação de tráfego peer-to-peer (P2P) e ataques contra ele. O tráfego P2P identificado inclui torrents, edonkey, Bittorrent, Gnutella e Limewire, entre outros. O tráfego P2P não é inerentemente malicioso, mas é frequentemente notável para as empresas.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
Phishing Esta categoria destina-se a assinaturas que detetam atividades de phishing de credenciais. Isso inclui páginas de destino exibindo phishing de credenciais e envio bem-sucedido de credenciais em sites de phishing de credenciais.
Política Esta categoria destina-se a assinaturas que podem indicar violações à política de uma organização. Isso pode incluir protocolos propensos a abuso e outras transações no nível do aplicativo, que podem ser de interesse.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação".
POP3 Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao Post Office Protocol 3.0 (POP3). Essa categoria também inclui regras que detetam atividades POP3 não maliciosas para fins de registro.
RPC Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades relacionadas com Chamada de Procedimento Remoto (RPC). Essa categoria também inclui regras que detetam atividades RPC não maliciosas para fins de registro.
SCADA Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao controlo de supervisão e aquisição de dados (SCADA). Essa categoria também inclui regras que detetam atividades SCADA não maliciosas para fins de registro.
ESCANEAMENTO Esta categoria é para assinaturas para detetar reconhecimento e sondagem de ferramentas como Nessus, Nikto e outras ferramentas de varredura de portas. Esta categoria pode ser útil para detetar a atividade de violação precoce e o movimento lateral pós-infecção dentro de uma organização.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação".
Código do shell Esta categoria é para assinaturas para deteção remota de código de shell. O código de shell remoto é usado quando um invasor deseja direcionar um processo vulnerável em execução em outra máquina em uma rede local ou intranet. Se executado com êxito, o código do shell pode fornecer ao invasor acesso à máquina de destino em toda a rede. Os códigos de shell remotos normalmente usam conexões de soquete TCP/IP padrão para permitir que o invasor acesse o shell na máquina de destino. Esse código shell pode ser categorizado com base em como essa conexão é configurada: se o código shell pode estabelecer essa conexão, ele é chamado de "shell reverso" ou "connect back" código shell porque o código shell se conecta de volta à máquina do invasor.
SMTP Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao protocolo SMTP. Essa categoria também inclui regras que detetam atividades SMTP não mal-intencionadas para fins de registro.
SNMP Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao SNMP (Simple Network Management Protocol). Essa categoria também inclui regras que detetam atividades SNMP não mal-intencionadas para fins de registro.
SQL Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas à Structured Query Language (SQL). Essa categoria também inclui regras que detetam atividades SQL não mal-intencionadas para fins de registro.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação".
TELNET Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao TELNET. Esta categoria também inclui regras que detetam atividades TELNET não maliciosas para fins de registro.
TFTP Esta categoria destina-se a assinaturas relacionadas com ataques, explorações e vulnerabilidades associadas ao TFTP (Trivial File Transport Protocol). Esta categoria também inclui regras que detetam atividades TFTP não maliciosas para fins de registro.
TOR Esta categoria destina-se a assinaturas para a identificação de tráfego de e para nós de saída TOR com base no endereço IP.

Nota: Todas as assinaturas nesta categoria são definidas como "Apenas alerta", portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e negar". Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e negação".
Agentes do utilizador Esta categoria destina-se a assinaturas para detetar agentes de utilizador suspeitos e anómalos. Agentes de usuário mal-intencionados conhecidos são colocados na categoria Malware.
VOIP Esta categoria destina-se a assinaturas de ataques e vulnerabilidades associadas a Voz sobre IP (VOIP), incluindo SIP, H.323 e RTP, entre outros.
Cliente Web Esta categoria é para assinaturas de ataques e vulnerabilidades associadas a clientes da Web, como navegadores da Web e também aplicativos do lado do cliente, como CURL, WGET e outros.
Servidor Web Esta categoria é para assinaturas para detetar ataques contra a infraestrutura do servidor Web, como APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) e outros softwares de servidor Web.
Aplicações Web Específicas Esta categoria destina-se a assinaturas para detetar ataques e vulnerabilidades em aplicações Web específicas.
VERME Esta categoria destina-se a assinaturas para detetar atividades maliciosas que tentam espalhar-se automaticamente pela Internet ou dentro de uma rede através da exploração de uma vulnerabilidade são classificadas como a categoria WORM. Embora a exploração real em si normalmente seja identificada na categoria Exploit ou em determinado protocolo, outra entrada nesta categoria pode ser feita se o malware real envolvido na propagação semelhante a um worm também puder ser identificado.

Próximos passos